La crescita della potenza di calcolo crea problemi ai vecchi algoritmi di sicurezza o di hash.
L’algoritmo MD5 era stato reso obsoleto a fine 2008, ora è il turno di SHA-1.
Il protocollo https fa un ampio uso degli algoritmi di hash, ma se è relativamente facile calcolare delle collisioni che permettono di calcolare il dato originale partendo dall’hash, la sicurezza di https è compromessa.
Già 10 anni fa era apparso evidente che SHA-1 fosse attaccabile molto più velocemente di quanto si pensava, è quindi il caso di abbandonare il più velocemente possibile l’utilizzo di questo algoritmo in contesti critici.
Per verificare se un certificato SSL utilizza SHA-1 si può utilizzare l’interfaccia web del tool open source Shaaaaaaaaaaaaa.
Alcuni browser, primo fra tutto Chrome, potrebbero nei prossimi mesi considerare i certificati della PKI con hash SHA-1 non attendibili. Shaaaaaaaaaaaaa mantiene un elenco aggiornato delle modalità di riemissione dei certificati interessati da parte dei maggiori fornitori.
Lascia un commento